ГЕРБ

МУНИЦИПАЛЬНОЕ ОБРАЗОВАНИЕ

«АГАЛАТОВСКОЕ СЕЛЬСКОЕ ПОСЕЛЕНИЕ»

ВСЕВОЛОЖСКОГО МУНИЦИПАЛЬНОГО РАЙОНА

ЛЕНИНГРАДСКОЙ ОБЛАСТИ

АДМИНИСТРАЦИЯ

РАСПОРЯЖЕНИЕ

 

11.10.2022

 

97

д. Агалатово

 

О внесении изменений в распоряжение администрации от 31.08.2021 № 81 «Об утверждении документов по обработке персональных данных в администрации муниципального образования «Агалатовское сельское поселение» Всеволожского муниципального района Ленинградской области»

 

В целях осуществления мероприятий по защите и обеспечению безопасности персональных данных при их обработке в информационных системах администрации муниципального образования «Агалатовское сельское поселение» Всеволожского муниципального района Ленинградской области, в соответствии с федеральными законами от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 № 152-ФЗ «О персональных данных», постановлениями Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», от 01.12.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Ленинградской области от 11.09.2015 № 358 «Об утверждении типовых организационно-распорядительных документов операторов персональных данных», в связи с принятием Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», руководствуясь Уставом муниципального образования муниципального образования «Агалатовское сельское поселение» Всеволожского муниципального района Ленинградской области:

 

  1. Внести следующие изменения в распоряжение администрации от 31.08.2021 № 81 «Об утверждении документов по обработке персональных данных в администрации муниципального образования «Агалатовское сельское поселение» Всеволожского муниципального района Ленинградской области»:
    • В раздел 9 Положения об обеспечении безопасности персональных данных в администрации муниципального образования «Агалатовское сельское поселение» Всеволожского муниципального района Ленинградской области, утвержденного приложением № 2 к распоряжению администрации МО «Агалатовское сельское поселение» от 31 августа 2021 № 81, изложив его в следующей редакции:

 

«9. Контроль состояния защищенности ПДн

 

9.1. Контроль состояния защищенности ПДн в Администрации осуществляется с целью своевременного выявления и предотвращения утечки конфиденциальной информации, отнесенной к категории ПДн, вследствие НСД к ней, преднамеренных программно-технических воздействий на персональные данные и оценки защищенности ПДн (далее по тексту - Контроль).

9.2. Контроль заключается в проверке выполнения требований действующих нормативных документов в области обработки и обеспечения безопасности ПДн, в оценке обоснованности и эффективности принятых мер по защите ПДн.

9.3. Контроль эффективности внедренных мер и СЗИ, входящих в состав СЗПДн, должен проводиться в соответствии с требованиями эксплуатационной документации на СЗПДн в целом на конкретные СЗИ, а также требованиями других нормативных документов не реже одного раза в год.

Обязательным является контроль СЗИ, входящих в состав СЗПДн, при вводе их в эксплуатацию после проведения ремонта таких средств, а также при изменении условий и расположения их эксплуатации.

9.4. Контроль обеспечения безопасности ПДн в Администрации организовывается должностным лицом, ответственным за проведение работ по защите ПДн в Администрации.

9.5. Контроль состояния и эффективности СЗПДн может осуществляться в соответствии с планом основных мероприятий по защите информации на текущий год или носить внеплановый характер.

9.6. Результаты периодического контроля оформляются отдельными протоколами или актами.

По всем выявленным нарушениям требований по защите ПДн должностное лицо, ответственное за обеспечение безопасности ПДн в Администрации, в пределах предоставленных ему прав и своих функциональных обязанностей обязано добиваться их немедленного устранения.

9.7. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

9.8. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

9.9. Должностное лицо, ответственное за организацию работ по обработке ПДн в Администрации, обязано принять все необходимые меры по немедленному устранению выявленных нарушений. При невозможности их немедленного устранения должна быть прекращена обработка ПДн и организованы работы по устранению выявленных нарушений.

9.10. Работники Администрации, осуществляющие обработку ПДн в ИСПДн, обязаны выполнять требования должностного лица ответственного за обеспечение безопасности ПДн, по устранению допущенных ими нарушений норм и требований по обработке и/или обеспечении безопасности ПДн. Также работники несут персональную ответственность за соблюдение требований по обеспечению безопасности ПДн в ходе проведения работ.

9.11. Учет, хранение и выдача работникам паролей и ключей для системы защиты ПДн от НСД, оперативный контроль действий работников, осуществляющих обработку ПДн, осуществляет должностное лицо ответственное за обеспечение безопасности ПДн.»;

 

  • изложив Типовую форму согласия на обработку персональных данных в администрации муниципального образования «Агалатовское сельское поселение» Всеволожского муниципального района Ленинградской области, утвержденную приложением 8 распоряжению администрации МО «Агалатовское сельское поселение» от 31 августа 2021 № 81, в редакции согласно приложению к настоящему распоряжению.

 

  • В статье 2 Правил рассмотрения запросов субъектов персональных данных или их представителей в администрации муниципального образования «Агалатовское сельское поселение» Всеволожского муниципального района Ленинградской области, утвержденных приложением № 10 к распоряжению администрации МО «Агалатовское сельское поселение» от 31 августа 2021 № 81:

 

  • Изложив часть 3 в следующей редакции:

 

«3. Оператор при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных, обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. казанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор предоставляет сведения, указанные в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

В случае отказа в предоставлении информации о наличии персональных данных оператор обязан дать в письменной форме мотивированный ответ с ссылкой на действующее законодательство, являющегося основанием для такого отказа. Отказ в предоставлении информации направляется в срок, не превышающий десяти рабочих дней со дня получения запроса субъекта персональных данных.»;

 

  • Изложив часть 6 в следующей редакции:

 

«6. При получении запроса из уполномоченного органа по защите прав субъектов персональных данных оператор обязан сообщить необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.»;

 

  • Дополнив частями 8, 9, 10, 11 следующего содержания:

 

«8. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

  1. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
  2. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
  3. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.».

 

  1. Настоящее распоряжение разместить на официальном сайте администрации муниципального образования «Агалатовское сельское поселение» Всеволожского муниципального района Ленинградской области в сети Интернет: Агалатово.рф.
  2. Контроль за исполнением распоряжения оставляю за собой.

 

 

 

Глава муниципального образования                                       А.В. Васютин

 

 

Вложения:
Скачать этот файл (Приложение .pdf)Приложение .pdf171 Кб